Cài đặt và cấu hình Exchange 2007 từ tiện ích dòng lệnh – Phần 1
Nathan Winters
Giới thiệu
Trong phần 1 của loạt bài này, chúng tôi đã giới thiệu cho các bạn các điều kiện tiên quyết để cài đặt Exchange và sau đó đã thực hiện việc cài đặt Exchange và thẩm định cài đặt đó. Trong phần 2 này chúng tôi sẽ giới thiệu cho các bạn một số bước cấu hình cần thiết để hệ thống đi vào hoạt động.
Cấu hình Client Access và Hub Transport
Sau khi hoàn tất việc cài đặt Exchange 2007 trong phần 1, bước tiếp theo là cấu hình máy chủ để sử dụng. Tất cả các kịch bản lúc này đều được chạy từ Exchange có thể thao tác với phiên bản PowerShell được gọi là Exchange Management Shell hoặc EMS.
Mã đăng ký
Bước đầu tiên là nhập vào các chi tiết về mã đăng ký cho mỗi máy chủ. Điều này được thực hiện bằng cách sử dụng kịch bản bên dưới để cho phép bạn chỉ định máy chủ Exchange nhằm sử dụng mã đăng ký với tham số nhận dạng.
#Enter the License Key
Set-ExchangeServer -Identity Exch2007 -ProductKey
12345-12345-12345-12345-12345
#Restart the Information Store Service
Restart-Service msexchangeis
Chuẩn bị Role Client Access và Hub Transport
Cập nhật thiết lập DatabaseMaxCache trong Transport service DB
Gần đây, có một giới thiệu trong một blog về việc thay đổi giá trị DatabaseMaxCache của Message Queue Database trên các máy chủ Hub Transport. Vấn đề này liên quan đến việc soạn thảo file văn bản C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.exe.config và thay đổi dòng dưới đây trong phần <appSettings>:
<add key="DatabaseMaxCacheSize" value="134217728" />
Để đọc:
<add key="DatabaseMaxCacheSize" value=" 536870912" />
chúng ta có thể được thực hiện bằng kịch bản dưới đây:
(Get-Content "C:\Program Files\Microsoft\Exchange Server\Bin\EdgeTransport.
exe.config") | Foreach-Object {$_ -replace "134217728", "536870912"} | Set
-Content "C:\Program Files\Microsoft\Exchange Server\Bin\
EdgeTransport.exe.config"
Restart-Service MSExchangeTransport
Kịch bản này sẽ load tòan bộ file vào một mảng, sau đó thực hiện vòng lặp cho tới khi tìm ra được nội dung có liên quan để thay thế. Sau đó sẽ ghi các nội dung đã được thay đổi vào file. Có nhiều cách để thực hiện điều này, tuy nhiên đây chính là cách tốt nhất mà chúng tôi muốn thực hiện!
Cấu hình Global Client Access và Hub Transport Server
Cấu hình định tuyến cho các mạng lớn
Hoàn toàn rõ ràng, chúng ta đang làm việc trong một môi trường máy chủ, mặc dù vậy cũng đáng đề cập đến ở đây một bước quan trọng đối với các mạng multi-site đó là cài đặt định tuyến. Như một phần của quá trình cài đặt mặc định, một bộ kết nối nhóm định tuyến được tạo giữa Exchange 2003 routing group để giữ máy chủ được chỉ định trong suốt cài đặt và Exchange 2007 routing group. Trong các tổ chức lớn hơn, chúng ta sẽ sử dụng kịch bản dưới đây để cài đặt các bộ kết nối tương đương khác:
#Get the existing routing group connector created by setup and delete it
Get-RoutingGroupConnector | where {($_.sourceroutinggroup -eq "Exchange
Routing Group (DWBGZMFD01QNBJR)") -or ($_.targetroutinggroup -eq "Exchange
Routing Group (DWBGZMFD01QNBJR)")} | Remove-RoutingGroupConnector -
Confirm:$false
#Create new routing group connectors
New-RoutingGroupConnector -Name "New York 2003-2007" -SourceTransportServers
"NYC-Exch2007.gaots.co.uk” -TargetTransportServers "NYC-Exch2003.gaots.co.uk"
-Bidirectional:$true -Cost 10
New-RoutingGroupConnector -Name "London 2003-2007" -SourceTransportServers
"LDN-Exch2007.gaots.co.uk" -TargetTransportServers "LDN-Exch2003.gaots.co.uk"
-Bidirectional:$true -Cost 10
Kịch bản đầu tiên sẽ xóa bộ kết nối mặc định, sau đó thay thế nó bằng các bộ kết nối khác.
Thiết lập số lượng để lưu trữ bản ghi cho việc kiểm tra thư tín
Quay trở lại môi trường máy chủ đơn chiếc, có một thiết lập toàn cục cần phải cấu hình. Đầu tiên chúng ta hãy thiết lập số lượng tối đa có thể trữ các bản ghi kiểm tra thư tín lên đến 10GB.
#Set amount of retained logs for Mailbox Servers
Get-MailboxServer | Set-MailboxServer
-MessageTrackingLogMaxDirectorySize 10GB
#Set amount of retained logs for Transport Servers
Get-TransportServer | Set-TransportServer
-MessageTrackingLogMaxDirectorySize 10GB
Thiết lập kích thước thư tín tối đa là 1GB
Tiếp đến, chúng ta sẽ cấu hình kích thước tối đa mà Exchange sẽ chấp nhận. Kịch bản bên dưới thiết lập kích thước là 50MB ở mức Global, Send và Receive Connector.
#Set global message size restrictions
Set-TransportConfig -MaxSendSize 50MB -MaxReceiveSize 50MB
#Get all the receive connectors and set the maximum message size to 50MB
Get-ReceiveConnector | Set-ReceiveConnector -MaxMessageSize 50MB
#Get all the send connectors and set the maximum message size to 50MB
Get-SendConnector | Set-SendConnector -MaxMessageSize 50MB
Để có thêm thông tin về các giới hạn của kích thước thư tín, bạn có thể xem thêm phần Các hạn chế về kích cỡ của thư tín trong Exchange 2007 .
Kích hoạt OOF kết nối Internet từ Exchange 2003 và Exchange 2007
Cuối cùng, chúng ta phải bảo đảm rằng Exchange 2007 sẽ cho phép cả Outlook 2003 và Outlook 2007 client có thể gửi các thông báo ngoài định dạng office vào Internet bằng kịch bản dưới đây:
#Get all the Remote Domain types (equal to the Internet Message formats
from #Exchange 2003 and set the AllowedOOFType to ExternalLegacy which
allows #both Outlook 2003 and 2007 clients to send OOF out
Get-RemoteDomain | Set-RemoteDomain -AllowedOOFType ExternalLegacy
Cấu hình máy chủ Client Access
Sau khi đã thực hiện các nhiệm vụ cấu hình trên, chúng ta sẽ thực hiện các bước bên dưới đây để thiết lập các thiết lập cụ thể trên máy chủ Client Access.
Tạo, cài đặt và kích hoạt chứng chỉ
Như những gì bạn có thể biết, Exchange sử dụng đến các chứng chỉ để bảo mật sự truy cập cho Outlook Web Access. Mặc định, nó sẽ sử dụng chứng chỉ tự ký nhưng hầu hết đều yêu cầu thay thế bằng một chứng chỉ được tạo từ một certificate authority (CA) riêng bên trong hoặc từ một CA công giống như VeriSign, bằng không người dùng sẽ bị nhắc nhở là chứng chỉ của họ không hợp lệ. Để thực hiện điều đó, chúng ta sử dụng các lệnh dưới đây:
#Create a request for a certificate
New-ExchangeCertificate -GenerateRequest:$True -SubjectName "c=US, o=Gaots,
cn=email.gaots.co.uk" -DomainName email.gaots.co.uk, autodiscover.gaots.co.uk,
exch2007, child.gaots.co.uk, exch2007.child.gaots.co.uk -FriendlyName
ExchOWACert -PrivateKeyExportable:$True -Path C:\ExchOWACert.req
Kịch bản trên sẽ tạo một chứng chỉ yêu cầu đến file mà bạn sẽ sử dụng sau đó cho CA bên trong hoặc một CA công của các hãng thứ ba.
Khi CA trả về chứng chỉ thì các kịch bản dưới đây sẽ được sử dụng để cài đặt và kích hoạt chứng chỉ.
#Import the certificate and enable for services
Import-ExchangeCertificate -path c:\ExchOWACert.cer |
Enable-ExchangeCertificate -Services "IIS,SMTP,POP,IMAP"
Kịch bản ở trên sẽ import chứng chỉ, sau đó sẽ kích hoạt các dịch vụ có liên quan. Bạn nên lưu ý rằng nó có thể nhắc nhở bạn về việc xác nhận trước khi kích hoạt.
Cấu hình các thư mục ảo Client Access và Autodiscover
Khi đã hoàn thành việc cài đặt chứng chỉ, bước tiếp theo là cấu hình các thư mục ảo để cung cấp sự truy cập cho Exchange. Quá trình này được thực hiện bằng kịch bản dưới đây:
# Configure Virtual Directories for the "Default Web Site"
Set-WebServicesVirtualDirectory -Identity Exch2007\"EWS (Default Web Site)"
-InternalUrl https://exch2007.child.gaots.co.uk/ews/exchange.asmx
-ExternalUrl https://email.gaots.co.uk/ews/exchange.asmx
Set-OabVirtualDirectory -Identity Exch2007\"OAB (Default Web Site)"
-InternalUrl https://exch2007.child.gaots.co.uk/OAB
-ExternalUrl https://email.gaots.co.uk/OAB -RequireSSL:$True
Set-UMVirtualDirectory -Identity Exch2007\"UnifiedMessaging
(Default Web Site)" -InternalUrl https://exch2007.child.gaots.co.uk
/unifiedmessaging/service.asmx -ExternalUrl https://email.gaots.co.uk
/unifiedmessaging/service.asmx
Set-OWAVirtualDirectory -Identity Exch2007\"OWA (Default Web Site)"
-InternalURL https://exch2007.child.gaots.co.uk/owa
-ExternalUrl https://email.gaots.co.uk/owa -LogonFormat username
-DefaultDomain child.gaots.co.uk
# Set URL for AutoDiscover
Set-ClientAccessServer -Identity Exch2007
-AutodiscoverServiceInternalURI https://exch2007.child.gaots.co.uk
/autodiscover/autodiscover.xml -AutodiscoverSiteScope:$null
Set-AutoDiscoverVirtualDirectory -identity Exch2007\"Autodiscover
(Default Web Site)" -InternalUrl https://exch2007.child.gaots.co.uk
/autodiscover/autodisover.xml -ExternalUrl https://email.gaots.co.uk
/autodiscover/autodisover.xml
# Reset IIS
IISRESET -NoForce
Khi đã thực hiện xong các bước trên, hệ thống của bạn lúc này đã hoàn toàn sẵn sàng thực hiện như một máy chủ Client Access nhằm cung cấp sự truy cập cho Exchange.
Export chứng chỉ SSL cho máy chủ Client Access thứ hai
Trước khi chúng ta chuyển sang các phần khác, chúng tôi nghĩ cần phải đề cập đến cho các bạn một số vấn đề có lên quan nếu bạn có một số máy chủ Client Access sẽ dụng trong cấu hình NLB. Trong trường hợp đó, bạn sẽ cần đến các chứng chỉ trên mỗi máy chủ để so khớp! Đầu tiên bạn phải export chứng chỉ từ máy chủ Client Access thứ nhất bằng kịch bản bên dưới:
#Export and copy to second server
Get-ExchangeCertificate | where {$_.services -eq "IMAP, POP, IIS, SMTP"} |
export-exchangecertificate -path \\SecondServer\c$\OWAcas-cert.pfx
-binaryencoded:$true -password:(Get-Credential).password
Khi bạn thực thi lệnh này, nó sẽ nhắc nhở bạn nhập vào mật khẩu để bảo vệ khóa riêng, sau đó sẽ export chứng chỉ vào ổ C: trên máy chủ thứ hai.
Trên máy chủ thứ hai, bạn phải import chứng chỉ bằng kịch bản bên dưới, kịch bản này cũng nhắc nhở bạn mật khẩu được bảo vệ ở trên:
#Import and enable the certificate
Import-ExchangeCertificate -path c:\DCcas-cert.pfx -Password:
(Get-Credential).password | Enable-ExchangeCertificate
-Services "IIS,SMTP,POP,IMAP"
Ở đây, bạn sẽ cấu hình các thư mục ảo như máy chủ đầu tiên.
Outlook Anywhere
Như đã đề cập ở trên, chúng ta phải cài đặt máy chủ client access, mặc dù vậy phương pháp truy cập máy chủ hầu hết được sử dụng vẫn chưa có. Đó chính là Outlook Anywhere, tên trước đây vẫn được biết đến là RPC over HTTP. Trước khi kích hoạt Outlook Anywhere, bạn phải bảo đảm rằng thành phần RPC Proxy đã được cài đặt trên máy chủ Client Access rồi. Cũng cần phải vô hiệu hóa Kernel Mode Authentication khi chạy Client Access role trên máy chủ Windows Server 2008 nếu bạn sử dụng Outlook Anywhere với các tùy chọn thẩm định NTLM thì người dùng sẽ bị nhắc nhở lặp đi lặp lại thông tin đăng nhập. Kịch bản ở dưới sẽ vô hiệu hóa Kernel Mode Authentication sau đó kích hoạt Outlook Anywhere với chế độ Basic Authentication được kích hoạt và SSL Offloading bị vô hiệu hóa:
#Disable Kernel Mode Authentication for IIS7
C:\Windows\SysWOW64\inetsrv\AppCmd.exe set config /section:system.webServer
/security/authentication/windowsAuthentication /useKernelMode:false
#Enable Outlook Anywhere with Basic Auth and SSL Offloading disabled
Enable-OutlookAnywhere -Server:Exch2007.child.gaots.co.uk
-ExternalHostname:email.gaots.co.uk -DefaultAuthenticationMethod:Basic
-SSLOffloading:$false
Cài đặt các bộ kết nối Relay
Bước cấu hình cuối cùng mà chúng ta cần đến là cài đặt một bộ kết nối khách để cho phép relay từ một ứng dụng bên trong.
Lưu ý:
Mặc dù trong môi trường này chúng ta chỉ có một máy chủ, nhưng nếu trong trường hợp bạn có một dãy các máy chủ Hub được tải một cách cân bằng thì cài đặt relay cần phải được thực hiện trên tất cả các máy chủ Hub Transport.
#An example of a script to setup relaying for the Hub Transport servers
New-ReceiveConnector -Name “Internal SMTP Relay” -Usage Custom
-Bindings 192.168.22.67:25, 192.168.22.67:587
-Fqdn exch2007.child.gaots.co.uk -RemoteIPRanges 192.168.22.60
-Server Exch2007 –AuthMechanism TLS, ExternalAuthoritative
–PermissionGroups ExchangeServers –MaxMessageSize 1GB
Kịch bản ở trên cho phép máy chủ hub transport có thể lắng nghe để relay trên IP 192.168.22.67 cho cả hai cổng 25 và 587. Cổng 587 được cấu hình để bổ sung cho cổng 25, nó là cổng mặc định cho lưu lượng SMTP giữa máy khách đến máy chủ, trái với lưu lượng giữa các máy chủ như trên cổng 25. Kịch bản sau đó sẽ cho phép truyền thông từ máy chủ 192.168.22.60 và thiết lập kích thước thư tín tối đa là 1GB.
Kết luận
Cho đến đây chúng ta đã hoàn tất các bước cơ bản trong việc cấu hình máy chủ client access. Chúng tôi không chỉ giới thiệu cho các bạn ở mức đủ mà còn bổ sung thêm một số bước cấu hình cho một số yêu cầu chính trong lĩnh vực này. Trong phần ba và cũng là phần cuối của loạt bài này, chúng tôi sẽ giới thiệu cách cấu hình role máy chủ mailbox và tổng kết lại một số quá trình mà chúng ta sử dụng khi thực hiện xây dựng một máy chủ Exchange.